将 Exchange Online 配置为仅接受来自特定邮件安全网关的 SMTP 连接

当您的组织添加邮件安全网关（第三方服务）时，您需要更改默认的 Exchange Online 传入邮件流。在本文中，您将了解如何将 Exchange Online 入站邮件流配置为仅接受来自特定邮件安全网关 IP 地址的 SMTP 连接。

Exchange Online 默认传入邮件流

当组织的邮件基础结构使用 Exchange Online 时，Microsoft 365 会自动创建管理所有传入邮件的 MX 记录。该域的所有传入电子邮件都会路由到 Microsoft 的 Exchange Online 服务器进行过滤和处理，然后再传递到组织的 Microsoft 365 邮箱。

默认情况下，您将组织域名的 MX 记录添加到公共 DNS，因此它指向 Exchange Online Protection (EOP)。

下图显示了某人向您的 Exchange Online 邮箱发送邮件时的过程。 Exchange Online Protection (EOP) 将在将邮件传送到您的 Exchange Online 邮箱之前过滤电子邮件。

使用第三方云服务的 Exchange Online 传入邮件流

假设我们想要使用另一个邮件安全网关，例如我们组织的第三方过滤服务。这意味着我们组织的所有传入邮件必须首先通过垃圾邮件筛选器，然后才能路由到 Exchange Online 邮箱。

在我们的示例中，我们希望发送给我们组织收件人的每封电子邮件首先进入邮件安全网关（第三方过滤器）。邮件安全网关实施多项安全检查。安全检查完成后，邮件安全网关会将邮件转发至Exchange Online邮件服务器。

注意：某些外部主机（例如垃圾邮件发送者）知道 Exchange Online 邮件服务器的 IP 地址或我们托管域的 Microsoft 365 MX 记录。这些外部主机可以通过直接与 Exchange Online 创建 SMTP 会话来绕过我们的邮件安全网关。

为了防止外部主机直接寻址您的 Exchange Online 邮件服务器，您需要实施邮件流配置。解决方案是锁定您的 Exchange Online 组织，使其仅接受来自第三方筛选服务的邮件。

现在您已经清楚地了解了 Exchange Online 如何与第三方卫生解决方案提供商合作，让我们看看如何在 Exchange Online 中进行配置。

创建新的 Exchange Online 传入邮件连接器

我们希望制定严格的 Exchange Online 传入邮件策略。因此，您需要创建新的自定义 Exchange Online 传入邮件连接器。

所需时间：10 分钟

如何创建传入邮件连接器：

1. 转到 Exchange 管理中心。

   使用您的管理员凭据登录

2. 添加连接器。

   点击邮件流 > 连接器
   点击添加连接器
   

   

3. 新连接器。

   选择合作伙伴组织
   点击下一步
   

   

4. 连接器名称。

   输入名称 (第三方过滤服务）
   选择打开
   点击下一步
   

   

5. 验证发送的电子邮件。

   通过验证发件人域来选择匹配以下域之一
   键入 *（星号），表示每个发件人域
   单击下一步
   
   

   

6. 安全限制。

   选择“拒绝”电子邮件（如果不符合）不通过 TLS 发送
   选择拒绝电子邮件'不是从此 IP 地址范围内发送的
   添加第三个 -参与方过滤服务IP 地址
   单击下一步
   

   

7. 查看连接器。

   检查并点击创建连接器
   

   

8. 已创建连接器。

   点击完成
   

   

9. 已添加新连接器。

   已在列表中创建入站连接器
   

   

在下一步中，我们将为我们创建的连接器配置增强过滤。

配置连接器的增强过滤

这是大多数人忽视的重要一步。您需要为新创建的连接器启用增强过滤，也称为跳过列表。

请按照以下步骤增强连接器的过滤：

1. 登录 Microsoft 365 Defender 门户
2. 展开电子邮件和协作
3. 单击策略和规则 > 威胁策略

1. 向下滚动并点击增强过滤

1. 点击您的连接器名称SpamBull 邮件网关

1. 启用跳过与连接器关联的这些 IP 地址
2. 添加第三方服务IP 地址
3. 选择应用于整个组织
4. 点击保存

1. 连接器显示增强过滤状态开启

配置设置正确，最后一步是验证我们的工作。

仅测试来自第三方云服务的 Exchange Online 传入邮件流

为了验证我们是否成功实现了所需的 Exchange Online 传入邮件流连接器和增强的筛选，我们需要发送电子邮件测试。

在我们的示例中，域名是 a-d.site。托管 Microsoft 365 域的 Exchange Online 是 a-d-com.mail.protection.outlook.com。如果您需要有关特定域的 Exchange Online MX 记录的信息，请阅读如何查找 Microsoft MX 记录。

我们想要验证代表您的域名的 Exchange Online 邮件服务器是否愿意仅接受来自已批准实体的 SMTP 连接请求。

注意：在测试邮件过滤之前请等待 15 分钟，因为在 Microsoft 云服务器中进行更改需要时间。

将电子邮件测试 SMTP 会话发送到您的 MX 记录。我们将使用名为 Wormly 的外部 SMTP 测试工具。

如何将电子邮件发送到 Microsoft 365 MX 记录主机名：

1. 转到 Wormly SMTP 测试工具
2. 输入主机名
3. 输入用户电子邮件地址
4. 在 TCP 端口中输入 25
5. 在发送 SMTP 测试电子邮件下选择是

我们想要的结果是，Exchange Online 将拒绝来自 IP 地址未添加到传入 Exchange Online 邮件连接器的主机的 SMTP 会话请求。

SMTP 测试失败，因此以下错误是正常的。

您已成功锁定 Exchange Online 中的入站电子邮件流，以仅接受来自第三方筛选服务的电子邮件。

了解更多：如何为 Microsoft 365 配置 SPF DKIM 和 DMARC »

结论

您了解了如何将 Exchange Online 配置为仅接受来自特定邮件安全网关的 SMTP 连接。实施邮件流配置后，垃圾邮件发送者无法绕过 MX 记录并将邮件直接传递到 Exchange Online。所有邮件都将按预期首先通过邮件安全网关（第三方服务）。

您喜欢这篇文章吗？您可能还喜欢如何模拟垃圾邮件。不要忘记关注我们并分享这篇文章。